11240112 隆高 汉口火车站网络规划与设计

11240112 隆高 汉口火车站网络规划与 ******************* 实践教学 ******************* 计算机与通信学院 2014年秋季学期 计算机网络 课程设计 题 目: 汉口火车站网络规划与设计 专业班级: 计算机科学与技术一班 姓 名: 隆 高 学 号: 11240112 指导教师: 冯 涛 成 绩: 摘 要 本次课程设计主要是根据汉口火车站的建筑物分布情况、信息点分布和信息媒体的类型情况对其进行了有线网络设计,汉口火车站主要分成6大部门，即财务部，售票前台(包含了取票，购票，退票等窗口)，调度室(包含候车，发车，检票，安检)，铁路办公室，服务器机房和地下商铺，每个部门大约有10,30个信息点。 本次设计主要针对带宽、远程访问支持功能、子网与VLAN规划、Internet接入、实现的信息服务、应用程序、存储系统分析、系统及数据安全分析、综合布线方案、网间隔离等进行设计。 根据火车站的情况，采用千兆以太网接入，火车站主干利用双绞线传输;建立基于internet的网络办公系统;实现信息共享，信息交流、信息保护等功能。 火车站实现集信息交流、信息共享、办公自动化于一体的Internet信息系统。 关键词:网络拓扑图;IP划分;主干网;网络管理;交换机;路由器。 I 前 言 本次设计主要针对带宽、子网与VLAN规划、实现的信息服务、远程访问支持、应用程序、存储系统分析、系统及数据安全分析、网间隔离、Internet接入方案、综合布线方案等进行设计。 宽带方面主干网采用千兆以太网，百兆到桌面。整个网络采用三层交换架构;火车站分成6个部门，每个部门平均有10,30个信息点，子网与VLAN划分从主干网分出6个子网，然后采用虚拟局域网VLAN技术将网络分配给五个子 -mail、FTP、网络论坛、网络办公、网，提供各自的服务;火车站网络实现了E 搜索引擎、网上聊天、管理数据的传输、处理与查询功能，根据人群要求还提供信息共享，信息交流、信息保护等功能;火车站建立基于internet的网络办公系统;在系统及数据安全分析上根据OSI参考模型网络安全可以从物理层、网络层、应用层、管理层几个方面考虑采取一些保护措施，例如:防火墙检测、用户认证登录、入侵检测等来防止火车站信息被破坏，保护火车站利益安全;在网间隔离上主要是系统对数据的控制，要做好这方面的工作需通过不可路由的来完成网间的数据交换，加强对数交换的控制;对于Internet接入本火车站采用从服务器机房的中心交换机分出其他的自网线，连接其他部门，在主要的部门中设置二层交换机，从此交换机上连接到各个主机;对于存储系统，采用大容量的网络存储器，方便存储设计，计划等所需的一系列数据，存储平台是共享的，还设置安全的管理模式来保护数据，还提供具有良好的拓展性;综合布线则是采用综合布线系统，根据6个子网的信息点配置对应的网络号，根据每个子网提供的网络服务为其配置相应的带宽。 汉口火车站网络设计方案实现了集信息交流、信息共享、办公自动化于一体的Internet信息系统，方便火车站网络经营，实现无纸化经营模式。 II 目 录 摘 要................................................................................................................................................ I 前 言.............................................................................................................................................. II 第1章 火车站描述 ......................................................................................................................... 1 第2章 需求分析 ............................................................................................................................. 1 2.1 带宽 .................................................................................................................................... 1 2.2 子网与VLAN规划 .............................................................................................................. 2 2.3 实现的信息服务 ................................................................................................................ 3 2.4 应用程序 ............................................................................................................................ 3 2.5 存储系统分析 .................................................................................................................... 4 2.5.1 数据量 ................................................................................................................... 4 2.5.2 访问流量 ............................................................................................................... 4 2.6 系统及数据安全分析 ........................................................................................................ 5 2.7 QoS .................................................................................................................................... 6 2.8 网间隔离 ............................................................................................................................ 7 第3章 拓扑图及方案整体描述 ..................................................................................................... 8 3.1 主干网传输方案设计 ....................................................................................................... 8 3.2 Internet接入方案 .......................................................................................................... 9 3.3 远程访问支持 ................................................................................................................. 10 3.4 子网划分与VLAN设定 ................................................................................................... 11 3.5 网间隔离方案设计 ......................................................................................................... 12 3.6 存储方案 ......................................................................................................................... 12 3.7 设备选型 ......................................................................................................................... 12 3.8 信息服务方案 ................................................................................................................. 14 3.9综合布线方案 .................................................................................................................. 14 第4章 网络管理 ........................................................................................................................... 17 第5章 系统主要设备报价 ........................................................................................................... 18 参考文献 ......................................................................................................................................... 21 课程设计总结 ................................................................................................................................. 22 第1章 汉口火车站描述 武汉总共3个火车站，汉口火车站规模第二，是通往北上广的主要车站，通过分类整理，根据其管理方式和数据交换关系,我们把它分为6大逻辑部门: 财务室、售票前台、铁路办公室，调度室，服务器机房和地下商铺。 对汉口火车站建筑物的简单介绍如图1.火车站平面图。 财务室 服 售票前台 务 器 机 房 调度室 铁路办公室 地 下 商 铺 图1 汉口火车站平面图 第2章 需求分析 2.1 带宽 合理而有效地规划网络, 对火车站网络的数据流量分析是必不可少的, 当然，这种分析只能进行估测。对每台服务器或工作站, 它们所需的网络带宽是与它们的应用分不开的。这种分析基于整个物理网络以及基本的流量计算准则， 1 在计算主干网上的数据流量时, 考虑局域网数据流量分配的20/ 80 法则。即网络的信息流量的分配状况是: 本地工作组的信息量占80% , 主干网上的信息量占20%。 汉口火车站分成了6个子网, 不同的子网之间要进行通信, 其中有些子网间交换的数据量比较大, 因此, 需要选择一种高速的网络互连主干模式来互连这些子网。六个子网分布如下: (1) 财务室: 6,10 台, 传送文字，图像信息, 需要10×1000kbit / s, 即10Mbit / s 的带宽; (2) 服务器机房: 20,30 台, 传送文字，图像信息, 需要30×100kbit / s, 即30Mbit / s 的带宽; (3) 调度室: 30,40台, 传送文字，图像信息, 需要30×100kbit / s, 即3Mbit / s 的带宽; (4) 铁路办公室: 10,20 台, 传送文字，图像信息, 需要20×1000kbit / s, 即20bit / s 的带宽; (5) 售票前台: 25,30台, 传送文字，图像信息, 需要30×100kbit / s, 即3Mbit / s 的带宽; (6) 地下商铺管理: 10,20 台, 传送文字，图像信息, 需要20×1000kbit / s, 即20Mbit / s 的带宽。 2.2 子网与VLAN规划 子网分布情况如下: 1.售票前台 本部门有1个办公点，配置25个信息点，主要的网络服务有:传送文字信息。分配的网络块为202.20.22.0/24，给25台主机静态分配。 2.调度室 本部门有1个办公点，配置40个信息点，主要的网络服务有:安排候车，发车，检票，安检。分配的网络块为202.20.23.0/24，静态分配给40主机。 3.财务室 本部门有1个办公点，办公室配置10个信息点。分配的网络块202.20.24.0/24，静态分配给10台主机。 4.铁路办公室 本部门有1个办公点，办公室配置10个信息点，主要服务有:根据市场价格来确定产品出售的价格。分配的网络块为202.20.25.0/23，10个主机静态分配。 2 5.服务器机房 本部门有1个办公点，办公室配置30个信息点，主要服务有:管理火车站运作信息。分配的网络块为202.20.26.0/25，静态分配给30台主机。 6.地下商铺 本部门有1个办公点，办公室配置10个信息点，主要服务有:商铺进行分类，方便旅客。分配的网络块为202.20.27.0/24,静态分配给10台主机。 2.3 实现的信息服务 火车站能实现除现在网络上的一般功能:如E-mail、FTP、网络论坛、网络办公、搜索引擎、网上聊天、管理数据的传输、处理与查询外，还应包括视 是一个高速多媒体互联网，实现频点播(VOD)、网络电话(IP电话)等功能， 整个火车站系统的资源共享。该火车站网在信息服务和应用方面应满足以下几个方面的需求: 用户需求决定了该网络系统的特殊性，按照用户的要求，网络系统须实现以下功能。有关火车站的各种公共资料，信息交流。可通过连接Internet实现与外部资讯的交流和沟通。 同时，网络必须具备较高的性能和高度的安全性、可靠性、容错性。而且网络系统能平滑地向未来新技术过渡，保护已有的体系。 另外火车站外部人员也可以通过网络查询到本火车站的基本信息，了解火车站概况，是否方便购票。 2.4 应用程序 组建火车站网的根本目的在于服务人群，而这之中网络经营又是重点。要充分发挥火车站网的作用，就需要在网络经营中体现。网络经营包括一系列的软、硬件系统。当然建立网络经营也需要建立起配套的网络办公软件。这是现在办公自动化的一个体现,可以大大的提高办公效率。 (1)自助购票系统 自动购票，查询，取票机方便旅客实现简单有序的进行购票 (2)建立基于Internet的网络办公系统 目前，办公自动化是一个趋势，办公无纸化就是指通过在Internet服务器建立相应的办公软件，并发布相应办公信息。各Internet客户端通过相应软件 3 访问服务器资源，查看服务发布的各种信息。在这个过程中,典型的软件系统是基于B/S结构的办公自动化(OA)系统。 2.5 存储系统分析 2.5.1 数据量 音频信号所需的带宽。 模拟的音频信号必须转换成二进制数据后才能被计算机存储和处理。对音频信号用等于信号最高频率两倍的速率进行采样，然后对采样值按一定的量化等级进行量化和编码，就可以将音频信号转化成数字数据，并且基本保留原来的信息。采样频率和编码位数的选取视使用场合而定。在电话系统中，一路电话所需的带宽只有 56Kbps 或 64Kbps，而传送立体声唱片则需要 1.411Mbps。 视频信号所需的带宽。 在计算机中,一幅图像是由一个个的像素组成的。灰度图像中，每个像素编码成一个8比特的数，在彩色图像中，每个像素记录了它的颜色，因此每个像素用 24 比特来表示，而为了获得平稳的运动画面每秒钟又必须显示 25 帧的图像，这样一幅分辨率为 800× 600 的图像所需的带宽为 24×800×600×25=288Mbps，通过压缩，带宽可达8 -10Mbps。 以上两种信号是网络中对带宽要求最严的数据信号，而且音频信号和视频信号突发性很大，在网络中要求实时的和高质量的传输。当网络规模比较大，网络用户比较多，网络中的多个用户同时发起音频，视频信号和其它各种数据信号的传输时，往往会对网络带宽带来压力，令网络带宽不堪负荷，造成网络拥塞，严重时会导致阻塞，使网络通信停顿。为了解决网络拥塞问题，必须对各种网络技术进行选择，以符合用户对网络实际应用所提出的各项要求，以最高的性价比，实现网络功能。 2.5.2 访问流量 网络带宽，应用举例:客户端与服务器的通讯，交互式工作需要10k bit/s 如交互式录入、客户登录; 传送文字信息需要100k bit/s网络带宽，应用点有站点之间传送数据，如 4 备份; 传送图形需要1M bit/s网络带宽，应用方面有客户端存取图形文件，如CAD子网工作站之间交换的数据; 传送图象需要5M bit/s网络带宽，能在客户端存取多媒体数据方面应用。 2.6 系统及数据安全分析 自动化给火车站带来了新的面貌，提高效率，同时现在信息安全也在困扰着用户。我在设计这个方案时，充分的考虑了现有的网络安全问题，利用网络产品的优势，来实现最大的安全性。 根据OSI参考模型网络安全可以从物理层、网络层、应用层、管理层几个方面考虑。 物理层的安全风险主要指设备的被盗、损坏、链路损坏、电磁辐射泄漏、自然灾害导致的损坏等，这些损害可能导致关键数据的整体破坏，因此要加强防范。 网络层的安全风险指数据传输时被窃听、截获、更改或者被假冒，还有网络设备存在的漏洞，导致被攻击等。 应用层的安全风险指各种应用软件如操作系统、数据库、WEB、MAIL等，存在各种漏洞，被黑客、病毒等攻击，导致数据被盗或损坏。这可以通过采用安全漏洞少的系统和及时升级软件来避免风险。 管理层的安全风险主要指网络管理规章制度的制定、人员管理、人员技术水平、综合素质等导致的安全风险。这可以通过加强监管、提高人员素质来减少风险。 在网络层的风险，我们一方面通过内部VLAN的划分，并实现访问策略，来杜绝非法用户的非法访问，同时还可以对关键部门的交换机实现MAC地址绑定、MAC地址过滤等技术，来实现更高的安全性。对于外部风险，相对来说更大一些。我们通过联想网御系列防火墙的动态检测功能、应用代理功能、入侵检测功能、地址绑定功能、DMZ功能、时间段访问控制功能、用户认证功能、日志记录功能等来实现更高的安全性。 身份认证技术:身份验证技术可以阻止或减少由于非法用户的登陆对系统 5 的恶意或非法操作。在用户访问服务器上任何信息之前，可以要求用户提供有效的 二代身份证信息。该标识过程称为“身份验证”。可以在网站或FTP站点、目录或文件级别设置身份验证。可以使用Internet信息服务(IIS提供的)身份验证来控制对网站和FTP站点的访问(包括下列信息:网站验证:介绍符合您验证用户网站访问要求的身份验证方法。FTP站点身份验证:介绍符合您验证用户FTP站点访问要求的身份验证方法)。 访问控制技术:对信息的权限的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键。使用 Windows和IIS中的安全功能，您可以有效地控制用户访问您Web和FTP内容的方式。可以控制多级访问，从整个网站和FTP站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执行特定操作的权力。权限是与对象(如文件或文件夹)关联的规则，用于控制哪些帐户可以获得对象的访问权限。 防火墙技术:要主的技术有数据包过滤技术、应用网关和代理服务等;防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络(安全区)中。连接外网的包过滤路由器主要用来防止外网的攻击。并管理外网对安全区的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据，负责管理安全区和内网之间的访问。这样对外网，内部网是不可见的。同理对于内网外网是不可见的，内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路由器和堡垒主机，内部路由器才能入侵到内网中。到目前可以认为是最安全的。 安全审计技术:安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对NTFS目录和文件的未经授权的访问(可供审核的活动包括:用户成功和失败的登录。用户试图访问受到限制的帐户。用户试图执行受到限制的命令。)。 2.7 QoS 任何的网络建设都要重点考虑关键应用的服务质量。每个网络都有大量的 6 应用存在，如ERP、CRM、财务系统、WWW、FTP、EMAIL、视频等。每种应用要求的带宽和对用户的重要程度都不尽相同。在网络没有堵塞时，不存在任何问题，但是当网络中有很多用户在下载大量文件、点播视频时，就可能会堵塞网络，导致关键应用如视频等无法正常运行。这样的网络属于不可控的网络。 所以，利用网络产品具有强大的基于硬件的QoS功能，可以根据数据流的端口、源IP、目的IP、端口等信息进行流量分类排队，每个队列赋予不同的优先级别，这样可以保障在网络发生拥塞时，关键应用得到足够的带宽，得以正常运行，这就是可控的网络。 2.8 网间隔离 网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制的实现都是通过软件来实现的。 因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。 7 第3章 拓扑图及方案整体描述 3.1 主干网传输方案设计 针对汉口火车站的实际情况, 分成了6个子网, 不同的子网之间要进行通信, 其中有些子网间交换的数据量比较大, 因此, 需要选择一种高速的网络互连主干模式来互连这些子网。再考虑到火车站今后的发展和网络规模的扩充, 选择千兆位以太网是最为可行的技术手段。首先, 传输速率可达到1000Mbit / s, 能够满足服务器机房与其它子网间大量及快速的数据传输的要求, 并且能为多媒体服务, WWW 服务提供可靠的保证; QoS 方式可以保证所需的带宽和最小的时延; 千兆位以太网的伸缩非常容易, 有利于网络的扩充。千兆位以太网为交换机到交换机提供了全双工操作模式, 能够满足各子网交换机与网管中心交换机的连接。由于传统网络技术的主要障碍在于带宽有限、时延太大、寻址和路由选择方式过于复杂。千兆位以太网技术正是为了克服传统网络互连技术的上述缺点而应运而生的。所以, 在规划汉口火车站主干网时, 对日益增长的信息流量选择了千兆位以太网。 主干网确定以后, 在选择子网模式时主要考虑以下几个因素: 子网速率应能满足实际的需要; 可以方便地与主干网络互连; 有利于向未来技术的过渡;具有开放性, 能保证各类型主机入网。但是, 目前常用的局域网有如下缺点: 共享式访问导致较窄的有效带宽; 变长数据分组引起的不同的时延; 路由器技术产生网络瓶颈。随着网络要求的不断增长, 特别是近来自动化技术的飞速发展, 用户对信息在网络上传输的带宽指标的要求也不断提高。为了解决目前较小的网络有效带宽问题, 进一步提高整体的性能, 可采用3 种解决方案: (1)高速局域网技术;(2)局域网交换技术; (3)工作组ATM 技术。根据汉口火车站Internet 网的建设目标是实现信息交流、信息共享、办公自动化于一体的Internet 信息系统。除了铁路办公室选择10Mbit / s 以太网外, 其余各子网均选择100Mbit / s 快速以太网。子网选择快速以太网的好处在于, 首先, 能提高网络性能。以太网交换机在各端口之间提供专用的分组交换连接方式, 交换机有较高的总带宽和较小的时延特性, 所以, 基于交换机的网络可以大大提高性能。其次, 较为经济。在现有网络的基础上应用快速以太网技术, 其花费 8 不大, 也没有技术难点。 为了满足汉口火车站网络建设的需要，建立了如图3.1所示的主干网拓扑图 财务室 地下商铺 售票前台 铁路办公 室 调度室 服务器机房 房 图3.1所示汉口火车站拓扑图 3.2 Internet接入方案 采用双绞线方式接入方式，此方式需要配备路由器等设备，租用光纤线路。 计算机网络技术种类很多，采用星型结构的以太网是目前最为安全成熟的技术，并且从应用角度讲，星形结构是综合布线系统的推荐网络拓扑结构，可以与综合布线系统紧密结合，使整个网络系统的通信瓶颈从以往的网络电缆转移至中央网络设备上。在中央设备之间，摒弃传统的HUB争抢技术，而采用交换以太网络设备配合星形结构来实现对局域网络的需求，使得中央结点与卫星结点的网络吞吐能力大大加强，对多媒体的支持也更加完美，既而提高整个系统的吞吐能力。 所以在网络方案中，整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。 这种拓扑结构与以往的总线结构相比具有以下特点: 9 网络的可靠性增强，如果在网络中的一个站点或一条线路的发生故障时，不会影响到其它接点的正常工作; 网络的可扩展性强，如要扩充网络结点，则只要有一条线即可将扩充结点联接到网络上，且不影响其它结点的工作。 网络便于日常的管理和维护。 网络便于维护，可远程管理和配置网络。 网络带宽容易扩展，配备光纤接口和千兆位接口扩展口。 与公网连接链路的网络安全考虑。 考虑远程宽带接入访问。 为此，在分析了网络工程需求和实地考察的基础上，结合综合布线系统，我们将利用先进的快速以太网交换机产品，组建一个多级星型结构的交换以太网，来构成整个网络系统。 3.3 远程访问支持 针对远程访问，主要有以下几种方式: 目前火车站 1.IPSEC VPN。这一方式目前为部分公司采用，但它有几个方面的缺陷: ?安全性不够。因为它基于网络层的加密传输，当VPN通道建立以后，远程用户随即成为局域网内的一员，其权限也和内网用户一样，很容易将病毒、攻击带入公司网络。 ?无权限控制。IPSEC VPN属于透明访问，无法做到精细的权限控制，仅能通过端口作有限的控制。 ?需要安装客户端。需要进行IP设置等系列的复杂设置，如果远程使用人员较多，将使网络维护工作量非常繁重。 ?兼容性不够。现有的各IPSEC VPN之间可能不兼容，将造成连接不上的问题。当系统更新时会造成设备浪费。 2.反向代理。这一接入方式仅适用于纯粹的B/S系统，而现在多数应用系统都是需要加载JAVA等中间件的混合架构，或者纯粹的C/S架构，例如FTP、Telnet„，这样就无法访问。另外它的数据是明文传输，缺乏安全性。 3.SSL VPN。这一接入方式为多数火车站采用，主要因为它不需要安装客户 10 端，仅需安装插件，通过标准浏览器进行远程接入。SSL VPN基于应用的特点具备高安全性和精细权限控制，是比较好的解决方案。 目前市场上相关产品很多，而在实际测试时多不能完全满足高校的要求。实际上，与其他行业远程访问要求不同，高校行业远程访问应用有一个重要的特点决定了在选择产品时的困惑，这个特点就是:使用人员众多，且动态变化。 使用人员众多也即意味着计算机水平参差不齐，这就要求产品具备使用简便的特点。动态变化则要求产品后台管理功能强大。 所以本公司采用SSL VPN技术。 3.4 子网划分与VLAN设定 为了提高网络整体性能和安全性，目前局域网中普遍采用VLAN(即虚拟网)技术，通常VLAN和IP子网的划分同时进行。汉口火车站也采用这种方式，根据部门的所属及工作性质不同，划分不同的VLAN，这样可以减少广播流量，提高网络性能，另一方面VLAN间的通信需要经过两层交换机来实现，而联想 、目标IP等信息来控制不同ISPIRIT支持基于策略的访问控制，可以根据源IP VLAN间的访问，这样可以保证关键部门的信息无关人员不能非法获取。 根据公司的分布以及子网的网点数，可以得到汉口火车站的IP地址分布表如下表3.2所示: 表3.2 具体子网划分 ID IP地址块 描述 网点数 1 202.20.22.0/24 售票前台 25 2 202.20.23.0/24 调度室 40 财务室 10 3 202.20.24.0/25 铁路办公室 30 4 202.20.25.0/23 5 202.20.27.0/24 服务器机房 10 6 202.20.28.0/24 地下商铺 10 11 3.5 网间隔离方案设计 网络隔离技术是确保可信网络安全的重要手段。但是，绝对的网络隔离又违背了网络互通的原则。提出采用 GAP 技术,设计并实现了可信网络与不可信网络在隔离的情况下数据的高速、安全传输。实践证明，基于GAP技术开发的隔离网间安全数据传输系统能够在保证可信网络安全的前提下，实现数据的高速交换，具有隔离性、安全性、管理方便等优点。 3.6 存储方案 一般火车站的网络存储需求包括如下几个方面，首先，它需要大容量的网络存储器，存储客户产生的大量数据;对存储平台要求可以多用户、多平台共享数据和具有足够的安全管理模式;要求能够集中管理数据和有完善的数据保护措施;要求存储平台降低管理维护成本和使用费用，并具有良好的可扩展性。 解决方案有很多种，在这里我们采用存储网络架构方法解决这个问题 火车站网的集中式存储系统，实现了“存储”与“工作”的分离。 存储网络:应用服务器通过千兆以太网直接将数据保存到 基于Wallstor网腾软件的存储服务器中。数据集中存储，并可以在多个应用服务器之间共享。 工作网络:应用服务器通过百兆或千兆以太网与客户端相连，并提供各种应用服务。 3.7 设备选型 网络设备的选型是网络运行性能和售后服务的关键，对于设备选型基于以下几点考虑: (1)网络中心的中心设备，承担着整个网络性能好坏的关键，我建议选用比较高档的中心设备，既能保证满足服务的需要，不会出现广播风暴或通信瓶颈问题;又能保证几年之内设备不会过时; (2)由于Internet的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。随着对Internet访问的日益频繁，为保障整个校园的网络出口安全，建议在主出口路由器和核心交换问部署1台千兆防火墙。通过防火墙的强大安全抵御功能、专业VPN 服务和智能网络特性无缝集成 12 在一个硬件平台上，不但能为用户提供广泛和深入的安全防护和安全连接功能，同时可以降低与安全相关的总体拥有成本以及部署的复杂程度。为用户提供一个安全的网络环境。主要网络互联出口，部署1台路由器和1台防火墙作为校园网与Internet、CERNET互联设备(通过路由器还可与教育部门及兄弟学校互联，下行通过2条千兆链路分别连接两台核心交换。 (3)选择品牌时考虑比较多的是:生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品(这将决定用户接收产品的成本和产品的通用性)、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求。 在本方案中，网络结构采用星型，主干速率采用1000M，所以我们选用国际上著名的Quidway和华为网络产品作为网络的中心交换、路由和分支交换设备: 主交换机设备选用Quidway的高端千兆路由多协议中心交换机; 网络中心下连的其它子系统，配置的边缘100M交换机可选择华为3Com LS-GS4L; 边缘交换机与主中心交换机的连接速率为100M;。 把整个火车站的所有网络设备和计算机设备(其中包括服务器、工作站、外设等)有机地连接在一起，使其发挥相应的作用，形成一个综合性的、统一的一体化现代园区高速网络系统。 这样就组建了目前技术先进的千兆以太网1000BASE-TX，速度1000M，各科室为快速以太网，速度为100M/200M。 各楼之间网络连接的主干线采用百兆线路，主要考虑网络的速度、将来网络的扩容以及与有关网络连接，其它分支采用10-100M双绞线。采用AMP结构化布线系统(PDS)进行网络布线 中心交换机使用千兆机;连接边缘高速百兆交换机;整个网络以一级千兆为中心，组成一个星型网络;这样就组建了目前先进、流行的千兆以太网和以太网(Ethernet)、快速以太网(Fast Ethernet)网络的组合,主干是1000M网络。其它分支为快速以太网 100BASE-TX，速度 100M/200Mbps。 13 中心服务器:由于集中式的管理可能对中心网络造成的压力较大，有可能使服务器的访问速率下降，所以我们将主服务器直接与中心交换机的高速模块相连，使用1000BASE-T的1000M速率(将交换机的全双工方式打开，速率为2000M);与中央交换机的直接相连，从而解决了的访问瓶颈问题，使各网络工作站可以快速访问服务器。 3.8 信息服务方案 火车站网的主要功能是为旅行服务，本设计组建的火车站网基本实现了这几方面的需求。 (FTP 文件传输服务 FTP文件传输是火车站网使用的一个重要服务，建1 立了FTP 服务后，将大大方便工作人员文件的传输和管理。 2(自动化服务，根据旅客自身的情况选取自己能达到的服务 3.9综合布线方案 计算机网络技术与综合布线系统息息相关，随科技的发展网络应用已成为人们日益增长的一种需求;而综合布线是网络实现的基础，是现今和未来计算机网络和通信系统的有力支撑环境。所以在设计综合布线系统的同时必须充分考虑所使用的网络技术及网络技术的新趋势，避免硬件资源的冗余和浪费，以便充分发挥综合布线的优点。 该设计的火车站网是一典型的LAN，它覆盖了火车站的经营、管理、信息共享、远程访问等多功能。我们在设计时要考虑到火车站网的需求，成本因素及网络技术的发展，采用结构化布线系统设计，规划完善的计算机网络，同时预留通信系统模块，以便将业网络扩展。 1. 进行结构化布线系统设计方案 一般采取以计算机网络系统布线为主，预留语音、视频系统接口，但又要考虑系统高度可靠性、高速率传输性、可扩充性，整个布线系统由可以看成由工作区，水平布线系统、干线子系统和管理中心四个部分构成。 2. 布线设计 14 综合布线系统(PDS，Premises Distribution System)是一套开放式的布线系统，可以支持几乎所有的数据、话音设备及各种通信协议，同时，由于PDS充分考虑了通信技术的发展，设计时有足够的技术储备，能充分满足用户长期的需求，应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性，各种设备位置的改变，局域网的变化，不需重新布线，只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统。 (1) 工作区子系统(Work Area)及其网络设计 工作区子系统由终端设备连接到信息插座的连线，以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定，并预留适当数量的冗余。在办公区内的每个办公点可配置2,3个信息点，此外应为此办公区配置3,5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等等。在办公楼区设带宽为100M可满足要求;售票区则每个信息点设为交换式100M甚至是光纤信息点。 工作区的终端设备(如:电话机、传真机)可用超五类或六类双绞线直接与工作区内的每一个信息插座相连接，或用适配器(如ISDN终端设备)、平衡/非平衡转换器进行转换连接到信息插座上。 (2) 水平子系统(Horizontal)及其网络设计 水平子系统主要是实现信息插座和管理子系统，即中间配线架(IDF)间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线选择超五类或六类非屏蔽双绞线,单模或多模光纤。 双绞线水平布线链路中，水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为水平子系统的线缆，可根据信息点类型的不同采用不同类型的电缆，例如对于语音信息点和数据信息点可采用超五类或六类双绞线，甚至使用光缆;对于电磁干扰严重的场合应尽量采用六类屏蔽双绞线。但是从系统的兼容性和信息点的灵活互换性角度出发，水平子系统采用均采用超五类双绞线。 (3) 管理子系统(Administration)及其网络设计 管理子系统由交连、互连和输入/输出组成，实现配线管理，为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。庆铃公司的 15 LANscape综合布线解决方案采用搭配科学、管理简便的成套产品用于管理子系统。 (4) 干线子系统(Backbone)及其网络设计 干线子系统指提供建筑物的主干电缆的路由，是实现主配线架与中间配线架，计算机、PBX、控制中心与各管理子系统间的连接。干线传输电缆的设计必须既满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统在系统设计施工时，应预留一定的线缆做冗余信道，这一点对于综合布线系统的可扩展性和可靠性来说是十分重要的。 干线子系统可以使用FutureCom超五类或六类双绞线;FutureLink室内单模或多模光纤。 超五类双绞线可以支持1000BASE,T，但如要求支持1000BASE,TX则必须使用六类双绞线。如果已安装的电缆仅满足5类线标准(1995)，那么在连接1000BASE,T设备之前，应对布线系统按照新增加的布线参数(如:回波损耗，等级远端串扰(ELFEXT)，传播延迟和延时畸变等)进行测量和认证。 (5) 设备间子系统(Equipment Room)及其网络设计 设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起，也可分别设置。在该设计的综合布线中，可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房，把与综合布线密切相关的硬件设备放置在设备间，计算机网络设备的机房放在离设备间不远的位置。 (6) 建筑群子系统(Campus Subsystem)及其网络设计 建筑群子系统是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件，建筑群之间可以采用有线通信的手段。 16 第4章 网络管理 安全管理是网络管理的关键内容，需要在不同的层次上实现。我们设计在下面的多个层次上实现了比较完整的安全管理。 ?建立安全。建立各种安全规章制度，如值班制度、系统安全运行制度等;完善各种事故保护系统，如防火系统、防盗系统、电源安全保护系统等。 ?通过统一出口接入Internet。 ?主干网不直接接入用户。 ?合理划分VLAN。通过WAN的合理划分，实现了不同网段间的互访隔离， 17 使管理要求、安全要求不同的网段彼此分离，加强了安全控制。 ?服务器限制服务。对重要的服务器通过VLAN实现进一步的隔离，限制其服务的范围。 ?数据备份措施。服务器采用热插拔硬盘，安装Raid 5进行数据备份和恢复，同时由管理员定期将数据备份到光盘上。 ?设置防火墙隔离外部和内部网络，防止外部和内部的攻击。 ?对火车站网所有访问用户实行身份认证。 ?对火车站网访问用户上网实行行为管理。 ?全网配置生成树协议，防止网络风暴的产生 第5章 系统主要设备报价 Quidway? S9303(简称SS9303)是华为公司面向IP城域网、以太城域网(Metro Ethernet)、大型园区网的骨干路由交换核心、汇聚中心和IDC数据中心建设而推出的高端多业务路由交换机产品。S9303基于网络处理器实现硬件的二到七层分布式线速转发技术，提供分布式的MPLS VPN线速转发能力、精细的QoS保障和完善的安全管理机制，满足高端用户对多业务、高可靠、大容量和模块化的需求，非常适合用于构建可运营可管理的网络。主要有以下特点: 不断提升的性能指标 不断发展的业务特性 强大的业务支撑能力 18 电信级可靠性设计 强大的Diffserv/QoS功能 完善的安全机制 Quidway? Eudemon 300是华为推出的全系列安全产品中的硬件高速状态防 火墙，采用先进的动态检测技术(ASPF)，具备强大的DDoS防范能力，高性能的虚拟专用网(VPN)功能、灵活丰富的地址转换(NAT)功 能、QoS 流量控制、P2P业务控制与带宽管理功能以及电信级高性能和高可靠性。 Quidway? Eudemon 300防火墙能够与华为桌面安全系统联动，控制终端的 安全接入，从而提供更为全面的安全解决方案。华为Quidway? Eudemon 300防 火墙是一款高性价比网络安全设备，适用于为中、大型网络提供安全保证。主要特点如下: 强大的防范DOS/DDOS攻击能力 丰富的安全业务提供和灵活组网能力 高性能的VPN网关 强大的NAT业务能力 灵活的P2P等流量识别和带宽管理 高可靠性的防火墙产品 主机:联想 Erazer 异能者T系列为家用产品，霸气冲锋式外观设计，采用 Intel双核/四核处理器，配金属弹道气冷散热及高速防震硬盘 用于完成公司网络建设需要的系统主要设备报价如表5.1所示。 19 表5.1主要设备报价 设备名称 型号 单位 单价(元) 数量 金额(元) 中心交换Quidway(R) S8016 台 20000 1 20000 多业务交换机 机 华为3Com 二级交换LS-GS4L模块(4台 4500 7 31500 端口千兆以太网机 多模光接口模块) 路由器 华为 AR28-31 台 2000 8 16000 正睿服务器 台 8900 3 8900 ZRI2216130S-WEB 防火墙Quidway? 防火墙 台 15000 1 15000 Eudemon300 双绞线安普 6-219507-4百米 720 700 50400 电脑、主机 Erazer 异能者台 3200 1300 10240000 配线架 TCL24口配线架 台 350 60 21000 总计(元) 10422800 20 参考文献 [1] 谢希仁.计算机网络(第四版)[M].大连:大连理工出版社，2004:46-54. [2] 赵海峰.局域网组网实务[M].北京:电子工业出版社，2007:45-56. [3] 薛涛, 石美红, 王会燃等. 应用P2P网络实现基于内容的发布订阅系统[J]. 微电子学与计算机, 2007, 24(9): 89-91. [4] 刘晓辉.网络硬件完全手册[M].重庆:重庆大学出版社，2005:36-47. [5] 赵腾任.计算机网络工程典型案例分析[M].北京:清华大学出版社， 2005:134-154. [6] 百度文库 21 课程设计总结 在火车站网络规划和设计的过程中，主要经历了以下三个阶段: 第一阶段，根据设计书的要求收集相关资料，并形成一个初步的规划; 第二阶段，结合计算机网络课上所教授的内容和第一阶段搜集的资料形成了网络规划的整体方案，并利用Visio 2007绘制网络拓扑图; 第三阶段，整理文档并完成设计说明书，总结本次课程设计。 本人在整个设计当中学到了火车站的网络采用的网需要千兆网接入，百兆到桌面的技术;子网与VLAN的划分需要根据子网的个数，每个子网配备的主机数来具体的划分IP，做出具体的网络布线方案;在实现基本的网络服务功能外还要根据用户的需求来实现信息服务;在网络规划中需分析数据流量，根据这些配置相应的宽带及存储系统;在网络安全防护方面需要考虑数据的安全分析来管理网络，保护网络的安全及数据的安全。 22